Le forze dell’ordine hanno sequestrato con successo i siti di negoziazione e fuga di dati del dark web utilizzati dalla famigerata operazione ransomware Ragnar Locker. Questa operazione congiunta, che coinvolge più paesi, rappresenta un duro colpo per il mondo del ransomware. In questo articolo daremo uno sguardo più da vicino a questa operazione e approfondiremo i retroscena della banda Ragnar Locker.
Operazione di sequestro del ransomware Ragnar Locker
Le forze dell’ordine internazionali hanno eseguito un’operazione ben coordinata che ha sequestrato la principale infrastruttura web utilizzata dal gruppo ransomware Ragnar Locker. I visitatori di questi siti si trovano ora di fronte ad un avviso di sequestro che indica apertamente che una coalizione di forze dell’ordine di Stati Uniti, Europa, Germania, Francia, Italia, Giappone, Spagna, Paesi Bassi, Repubblica Ceca e Lettonia hanno effettuato questo operazione. Il messaggio è chiaro: si tratta di una campagna più ampia contro l’organizzazione Ragnar Locker.
Un funzionario dell’Europol ha verificato la legittimità di questo avviso di sequestro, sottolineando che fa parte di uno sforzo continuo per smantellare il gruppo ransomware Ragnar Locker, afferma Computer che suona. Hanno anche promesso di fornire un annuncio ufficiale sul successo dell’operazione. Nel frattempo l’FBI ha deciso di mantenere il silenzio sull’argomento.
Ragnar Locker sotto i riflettori
Ragnar Locker, noto anche come Ragnar_Locker e RagnarLocker, è noto come una delle campagne ransomware più longeve. Ha debuttato alla fine del 2019, concentrandosi principalmente sulle imprese. La strategia era nota: entrare nelle reti aziendali, spostarsi lateralmente al loro interno ed esfiltrare dati. Successivamente, la banda utilizzerebbe la crittografia per proteggere le macchine della rete.
L’approccio di Ragnar Locker è ciò che lo distingue. Il ransomware Ragnar Locker funziona in modo diverso rispetto a molte operazioni ransomware moderne, che reclutano in modo aggressivo affiliati per compromettere le reti e lanciare assalti ransomware. Opera in modo semi-privato, evitando il reclutamento aggressivo e lavorando con penetration tester esternalizzati per attaccare le reti.
Inoltre, a differenza della maggior parte delle operazioni ransomware, Ragnar Locker si concentra esclusivamente sulle attività di furto di dati. Utilizzano il loro sito di fuga di dati per estorcere denaro alle loro vittime, rendendole una forza unica e formidabile nel mondo del crimine informatico.
Una recente svolta nelle tattiche di Ragnar Locker è venuta alla luce da un ricercatore di sicurezza informatica MalwareHunterTeam hanno riferito di utilizzare un crittografo VMware ESXi, basato sul codice sorgente trapelato di Babuk. Curiosamente, è emerso un nuovo player di ransomware chiamato DarkAngels, che utilizzava il crittografo ESXi originale di Ragnar Locker durante un attacco al colosso industriale Johnson Controls. L’origine e l’affiliazione dei DarkAngels rimangono incerte, lasciando spazio a speculazioni.
Attacchi notevoli e successo delle forze dell’ordine
Il ransomware Ragnar Locker è stato coinvolto in numerosi attacchi di alto profilo, inclusi quelli contro Energias de Portugal (EDP), Capcom, Campari, Dassault Falcon Jet, ADATA e persino la città di Anversa, in Belgio. La confisca dei loro siti web clandestini rappresenta un significativo trionfo per le forze dell’ordine e per la campagna in corso contro il ransomware.
Sorprendentemente, anche la Cyber Alliance ucraina (UCA) ha raccolto notizie dopo aver hackerato la banda Trigona Ransomware. L’UCA potrebbe estrarre i dati e poi ripulire i server del gruppo. Hanno promesso di collaborare con le autorità legali fornendo le informazioni che hanno raccolto. Questa settimana è stata dura per gli operatori di ransomware e piena di speranza per coloro che si dedicano a fermare le loro operazioni illegali.
Credito immagine in primo piano: Clint Patterson/Unsplash
Source: Sequestrati i siti web oscuri Ragnar Locker Ransomware